趙鑫樾，萬礪珂，胡凌生，羊本林，陳 石，王子冠，張曉杰，楊 松

(華龍國際核電技術有限公司，北京 100037)

系統(tǒng)或設備發(fā)生故障是指其因某些原因不能完成預計的功能。

單一故障是一種確定性的假設，不考慮其故障發(fā)生概率的大小，而是定性地認為失效。通常采用冗余部件或系統(tǒng)的設計措施來應對單一故障。

單一故障準則是指，導致單一系統(tǒng)或部件不能執(zhí)行其預定安全功能的一種故障，以及由此引起的各種繼發(fā)故障。安全組合是指用于完成某一特定假設始發(fā)事件下所必需的各種動作的設備組合，其使命是防止預計運行事件和設計基準事故的后果超過設計基準中的規(guī)定限值。

HAF102—2016[1]第5.4.5節(jié)對于單一故障準則的要求如下：

(1)必須對核動力廠設計中所包括的每個安全組合都應用單一故障準則；

(2)當把單一故障準則應用于一個安全組合或安全系統(tǒng)時，必須將誤動作視為故障的一種模式；

(3)不符合單一故障準則的情況必須是極個別的，并必須在安全分析中明確證明是正當?shù)模?/p>

(4)設計必須適當考慮非能動部件的故障，除非能夠在具有高置信度的單一故障分析中證實：該部件的故障極不可能發(fā)生，并保持其功能不受到假設始發(fā)事件的影響。

目前單一故障準則分析是基于確定論。在進行安全分級后，F(xiàn)C1(安全1類功能)、FC2(安全2類功能)級系統(tǒng)必須滿足單一故障準則，F(xiàn)C1級系統(tǒng)必須考慮系統(tǒng)冗余的方式應對單一故障，F(xiàn)C2級系統(tǒng)可以通過功能冗余應對單一故障，這樣過于保守。本文根據始發(fā)事件發(fā)生的頻率，通過與概率論的方法確定緩解措施的可靠性，基于緩解措施的可靠性來進行單一故障分析。

1 單一故障分析過程

HAF102—2016中明確規(guī)定核電廠必須滿足三大基本安全功能：

(1)控制反應性；

(2)排出堆芯余熱，導出乏燃料貯存設施所貯存燃料的熱量；

(3)包容放射性物質、屏蔽輻射、控制放射性的計劃排放，以及限制事故的放射性釋放。

為了實現(xiàn)這三大安全功能“華龍一號”核電機組中執(zhí)行下列安全功能的安全組合必須滿足單一故障準則。

(1)安全殼功能；

(2)反應堆停堆；

(3)反應性控制；

(4)熱量導出；

(5)必需的支持系統(tǒng)。

HAFJ0006[3]提出了單一故障準則的分析過程，主要分析過程如下，流程圖如圖1所示。

(1)確定假設始發(fā)事件及其繼發(fā)效應；

(2)確定始發(fā)事件的緩解措施，即安全組合；

(3)確定安全組合的失效模式，包括能動故障和非能動故障；

(4)確定假設單一故障效應及其繼發(fā)效應；

(5)評價安全組合的有效性，包括可靠性和足夠的冗余度；

(6)確定適當?shù)脑囼為g隔和最大允許停役維修時間；

(7)評價安全組合中系統(tǒng)設備之間的相關性，考慮共因故障的可能性。

圖1 單一故障準則分析過程Fig.1 Analysis of single failure creterion

2 基于可靠性的單一故障準則分析方法

根據HAF102，安全組合是用于完成某一特定假設始發(fā)事件下所必需的各種動作的設備組合?？梢姡踩M合是緩解始發(fā)事件的系統(tǒng)和設備組合，并非發(fā)生始發(fā)事件所在的系統(tǒng)和設備。HAF102要求，必須對核動力廠設計中所包括的每個安全組合都應用單一故障準則。安全組合應當包括完成安全功能的支持系統(tǒng)和設備。如果安全組合中一個單元失效而不能完成安全功能，則可以認為該安全組合不滿足單一故障。

核電廠發(fā)生設計基準事故(DBC)這樣的始發(fā)事件時，應防止緩解措施失效而進入設計擴展工況(DEC)。始發(fā)事件后果的嚴重性與其發(fā)生頻率為單調遞減函數(shù)。根據目前“華龍一號”核電廠安全分級，大部分DBC-2緩解措施失效會進入DEC工況，因此其緩解措施定為FC1級，其他少部分定為FC2級。DBC-3/4的緩解措施失效都定為FC1級。但安全分級要求執(zhí)行FC1和FC2功能的系統(tǒng)都要滿足單一故障準則。這樣來看DBC-2～4的緩解措施可靠性基本是一樣的?！叭A龍一號”安全分級僅根據放射性后果的嚴重性來劃分。雖然這樣得出緩解措施可靠性是滿足核電廠安全的，但其實過于保守，影響經濟性。下面根據事故頻率的變化來確定緩解措施的可靠性。

對于DBC來說，按照發(fā)生頻率遞減依次劃分為DBC-1、DBC-2、DBC-3、DBC-4，而其后果則依次增加?？紤]到DBC一旦緩解失效就會進入DEC工況，而DBC-2可能發(fā)生的次數(shù)最多，因此其緩解措施的可靠性也應最高。同理，極低頻率出現(xiàn)的事故工況，用于應對該事故工況的安全組合的可靠性不需要很高(見表1)。

根據“華龍一號”設計擴展工況的定義[3]，當發(fā)生DBC事故時，如果疊加緩解措施失效的頻率大于10-8則該事故序列定義為DEC-A工況。緩解措施是安全組合，如果安全組合中任何一個單元失效導致安全組合喪失安全功能就可以認為是緩解措施失效。

在考慮安全組合單一故障時，如果緩解措施失效的頻率與DBC事故發(fā)生頻率乘積大于等于10-8，此時認為進入DEC-A工況，需要防止此類事故序列發(fā)生，因此緩解措施必須滿足單一故障。緩解措施失效可以由多種單一故障引起。但如果緩解措施失效的頻率與DBC事故發(fā)生頻率乘積小于10-8，認為這種緩解措施失效的可能性太小，不需要考慮該事件下緩解措施因這種單一故障失效。

不需要考慮引起緩解措施失效的單一故障發(fā)生概率可以根據表2確定。表中，P1×P2<10-8。

表2 不需要考慮引起緩解措施失效的單一故障發(fā)生概率Table 2 There is no need to consider the probabilityof single failure which can cause the failure ofmitigation measures

3 單一故障應用實例分析

針對“華龍一號”反應堆換料水池和乏燃料水池的冷卻和處理系統(tǒng)(RFT)管線破口事故作為假設始發(fā)事件進行基于可靠性的單一故障準則分析方法舉例說明。圖3是RFT系統(tǒng)的簡化流程圖。

圖3 RFT系統(tǒng)流程Fig.3 Process of RFT system

表3是根據故障樹計算的RFT管線破口事故頻率。假設始發(fā)事件為換料狀態(tài)反應堆換料水池和乏燃料水池的冷卻和處理系統(tǒng)管線破口。單一故障假設緩解措施的第一步隔離閥(10/11/30/31VAG)失效，其中10/11VAG考慮拒關失效，30/31VAG考慮拒開失效，電動隔離閥拒關失效的概率由可靠性數(shù)據[4]可得2.36×10-4。參考表2，2.36×10-4>10-4，因此這個始發(fā)事件中這幾個隔離閥都要考慮單一故障。

在換料狀態(tài)，反應堆換料水池和乏燃料水池的冷卻和處理系統(tǒng)兩個泵(01/02PO)同時運行。假設始發(fā)事件是其中一列失去功能，它的緩解措施是另一列完成安全功能。在分析另一列泵(02PO/03PO)的單一故障時可以這樣分析，該泵有兩種失效形式需求失效和運行失效，02PO考慮運行失效，根據可靠性數(shù)據可得運行失效頻率為3.48×10-6，其失效的概率為8.35×10-5小于10-4，因此不需要考慮單一故障失效。03PO需求失效的概率2.02×10-4，大于10-4因此要考慮03PO的需求失效。綜合所述，這幾個泵啟動時需要考慮單一故障，運行時不需要考慮單一故障。同時考慮到在失去一臺泵后另兩臺泵作為它的緩解措施能夠滿足單一故障，所以三列泵是滿足單一故障的最低配置。在之前設計中02PO所在列被設計成非安全級，不能滿足單一故障準則，“華龍一號”融合方案將這一列工藝設備設計成安全級并采用應急電A/B列交叉供電的方案，使其能夠滿足單一故障準則。

在假設始發(fā)事件為換料狀態(tài)反應堆換料水池和乏燃料水池的冷卻和處理系統(tǒng)管線破口情況下，此時01PO和02PO運行、03PO備用，依據基于可靠性的單一故障分析方法可以得出下列反應堆換料水池和乏燃料水池的冷卻和處理系統(tǒng)部分工藝設備單一故障的分析結果。分析結果如表4所示。

表3 反應堆換料水池和乏燃料水池的冷卻和處理系統(tǒng)始發(fā)事件

表4 反應堆換料水池和乏燃料水池的冷卻和處理系統(tǒng)部分工藝設備

由上表可以分析得出該系統(tǒng)中電動隔離閥和電動泵需要考慮單一故障失效，手動閥和熱交換器不需要考慮單一故障失效?！叭A龍一號”乏燃料水池冷卻系統(tǒng)(見圖3)滿足單一故障準則(未分析支持系統(tǒng))。

對于具有較高頻度的始發(fā)事件，單一故障準則可以提供足夠的保護。在這種情況下，要提供一個以上的具有多冗余度的系統(tǒng)，最好是多樣化的系統(tǒng)。

單一故障是一種保守的假設，只需要考慮確實已經發(fā)生而不需要去考慮其發(fā)生的原因。單一故障可能會引起一系列的故障，這些后果要同時考慮。某些始發(fā)事件失效形式與單一故障是相同或相似的，必須要區(qū)分它們，不能因始發(fā)事件與單一故障失效形式一樣就不再考慮單一故障。在考慮單一故障時，要考慮始發(fā)事件后電廠的狀態(tài)，根據此時各系統(tǒng)和設備的狀態(tài)來進行單一故障分析。此外當考慮繼發(fā)事件時，應考慮事件序列隨時間的發(fā)展過程，不應以最不利的情況考慮。

在假設單一故障時應考慮人因失誤，也就是在假設始發(fā)事件的情況下，在保護電廠的測量過程中操作人員的誤操作或沒有充分預料到的操作。

如果安全組合發(fā)生單一故障所需的維修恢復的時間很短，也可以認為其滿足單一故障準則。

如果保證安全功能或功能冗余所必需的系統(tǒng)或設備退出運行，進行預防性維修(包括試驗)，則該功能或功能冗余視為不可用,則不滿足單一故障準則，因此需要增加一列來進行預防性維修，冗余度為N+2。但是，如果進行預防性維修不影響系統(tǒng)或設備在特定的時間范圍內實現(xiàn)要求的功能(能夠滿足安全分析中對功能啟動時間和性能水平的要求)，可以認為該系統(tǒng)或設備可用。即系統(tǒng)和設備在預防性維修時并不需要其實現(xiàn)功能，或預防性維修時間足夠短，可以認為不降低可靠性。

這個時間可以由下面的方法計算得出[3]。

4 安全組合預防性維修時間的確定

如果保證安全功能或功能冗余所必需的系統(tǒng)或設備退出運行，進行預防性維修(包括試驗)，則該功能或功能冗余視為不可用。但是，如果進行預防性維修不影響系統(tǒng)或設備在特定的時間范圍內實現(xiàn)要求的功能(能夠滿足安全分析中對功能啟動時間和性能水平的要求)，可以認為該系統(tǒng)或設備可用。即系統(tǒng)和設備在預防性維修時并不需要其實現(xiàn)功能，或預防性維修時間足夠短，可以認為不降低可靠性。

對于一個系統(tǒng)或設備，其不可靠性會隨著時間的增加而增加，當一個系統(tǒng)或設備的不可靠性增加到一定的程度則認為可能系統(tǒng)不能執(zhí)行預期功能。此時需要停運檢修該系統(tǒng)，即預防性維修，檢修后系統(tǒng)的不可靠性又會降到最低。圖4中，當最大維修間隔時間Tmax加上維修時間TR，不可靠性U達到最大值，維修完成后不可靠性又降到最低。

圖4 維修后不可靠性的變化Fig.4 Unreliable changes after maintenance

當系統(tǒng)或設備中某一冗余系統(tǒng)停役進行預防性維修，這時不可靠性的比同一時刻沒有系統(tǒng)或設備在維修時的不可靠性高。圖5中，沒有系統(tǒng)維修時系統(tǒng)不可靠性為U1，有系統(tǒng)維修時系統(tǒng)不可靠性為U2，U2的增長速率高于U1。

圖5 一列系統(tǒng)或設備維修時不可靠性的變化Fig.5 Unreliable changes of one train systemor equipment during maintenance

如果安全組合中某個系統(tǒng)或設備需要預防性維修，維修的這段時間安全組合中部分系統(tǒng)或設備不可用，因而造成安全組合可靠性比最大維修間隔時間不可靠性增加率更高。我們規(guī)定因修理造成該安全組合最大不可靠性Umax不得大于安全組合未進行維修時最大不可靠性Umax的f倍，圖5中維修TR時間內，不可用率為U2，斜率較U1陡然上升，即：

URmax(TR)≤fUmax

式中：TR——用于修理(維護試驗)的停役時間；

f取5，為了讓不可靠性不會提高一個數(shù)量級取5較為合適。

例如一個四取二的系統(tǒng)因維修停運一列變?yōu)槿《南到y(tǒng)，則可以得到該列系統(tǒng)維修的最大允許停役時間為：

式中：Tmax是最大維修時間間隔。

同樣以反應堆換料水池和乏燃料水池的冷卻和處理系統(tǒng)為例。如果系統(tǒng)中某一子系統(tǒng)或設備實際預防性維修時間小于TR，則可以認為安全組合可靠性不降低，不需要增加冗余度；如果實際預防性維修時間大于TR，則安全組合可靠性降低，必須增加冗余度。

除考慮增加系統(tǒng)冗余度外，還可以考慮停運維修，制定維修策略并尋找安全維修窗口。

5 經濟性影響簡析

基于可靠性的單一故障準則分析方法分析出的系統(tǒng)冗余度與傳統(tǒng)方法有一定差別。

根據以往的單一故障分析方法，所有的緩解DBC工況的系統(tǒng)必須有2×100%或等效的冗余配置。而通過本文介紹的基于可靠性的單一故障準則分析方法，某些可靠性很強的緩解措施只需要1×100%或等效的冗余配置就可以滿足單一故障。由此減少了一個冗余列的設備，能夠大幅降低系統(tǒng)的造價，進而核電機組的經濟性得到提升。

6 結束語

基于安全組合可靠性進行單一故障準則的分析是相對傳統(tǒng)單一故障準則分析更為現(xiàn)實的一種分析方法。這種方法結合了概率論與確定論，符合三代核電機組設計的理念。

在“華龍一號”安全組合冗余度的分析確定中采用基于可靠性的單一故障分析方法，能夠在不降低安全組合可靠性的同時，極大可能的減少安全組合的復雜程度，滿足了三代核電廠簡化設計的要求，提升核電機組的經濟性。